33+ Kubernetes säkerhetsverktyg

Notera. transl.: Om du undrar över säkerhet i Kubernetes-baserad infrastruktur är den här utmärkta översikten från Sysdig en bra utgångspunkt för en snabb titt på de aktuella lösningarna. Det omfattar både komplexa system från välkända marknadsaktörer och mycket mer blygsamma verktyg som löser ett visst problem. Och i kommentarerna, som alltid, kommer vi gärna att höra om din erfarenhet av att använda dessa verktyg och se länkar till andra projekt.

Kubernetes säkerhetsprogramvaruprodukter... det finns så många av dem, alla med sina egna mål, omfattning och licenser.

Det är därför vi bestämde oss för att skapa den här listan och inkludera både projekt med öppen källkod och kommersiella plattformar från olika leverantörer. Vi hoppas att det kommer att hjälpa dig att identifiera de som är av mest intresse och peka dig i rätt riktning baserat på dina specifika Kubernetes-säkerhetsbehov.

kategori

För att göra listan lättare att navigera är verktygen organiserade efter huvudfunktion och applikation. Följande avsnitt erhölls:

• Kubernetes bildskanning och statisk analys;
• Runtime säkerhet;
• Kubernetes nätverkssäkerhet;
• Bilddistribution och hemlighetshantering;
• Kubernetes säkerhetsgranskning;
• Omfattande kommersiella produkter.

Låt oss komma till saken:

Skanna Kubernetes-bilder

Ankare

• webbplats: anchore.com
• Licens: gratis (Apache) och kommersiellt erbjudande

Anchore analyserar behållarbilder och tillåter säkerhetskontroller baserat på användardefinierade policyer.

Utöver den vanliga genomsökningen av behållarbilder för kända sårbarheter från CVE-databasen, utför Anchore många ytterligare kontroller som en del av sin skanningspolicy: kontrollerar Dockerfilen, autentiseringsläckor, paket med de programmeringsspråk som används (npm, maven, etc.) .), programvarulicenser och mycket mer .

Clair

• webbplats: coreos.com/clair (nu under ledning av Red Hat)
• Licens: gratis (Apache)

Clair var ett av de första Open Source-projekten för bildskanning. Det är allmänt känt som säkerhetsskannern bakom Quay-bildregistret (även från CoreOS - cirka. översättning). Clair kan samla in CVE-information från en mängd olika källor, inklusive listor över Linux-distributionsspecifika sårbarheter som underhålls av Debians, Red Hats eller Ubuntus säkerhetsteam.

Till skillnad från Anchore fokuserar Clair främst på att hitta sårbarheter och matcha data till CVE:er. Produkten erbjuder dock användarna vissa möjligheter att utöka funktioner med hjälp av insticksdrivrutiner.

dagda

• webbplats: github.com/eliasgranderubio/dagda
• Licens: gratis (Apache)

Dagda utför statisk analys av containerbilder för kända sårbarheter, trojaner, virus, skadlig kod och andra hot.

Två anmärkningsvärda egenskaper skiljer Dagda från andra liknande verktyg:

• Den integreras perfekt med ClamAV, fungerar inte bara som ett verktyg för att skanna behållarbilder, utan också som ett antivirus.
• Ger även körtidsskydd genom att ta emot händelser i realtid från Docker-demonen och integrera med Falco (se nedan) för att samla in säkerhetshändelser medan behållaren körs.

KubeXray

• webbplats: github.com/jfrog/kubexray
• Licens: Gratis (Apache), men kräver data från JFrog Xray (kommersiell produkt)

KubeXray lyssnar på händelser från Kubernetes API-server och använder metadata från JFrog Xray för att säkerställa att endast pods som matchar den aktuella policyn lanseras.

KubeXray granskar inte bara nya eller uppdaterade behållare i driftsättningar (liknande tillträdeskontrollanten i Kubernetes), utan kontrollerar också dynamiskt körande behållare för överensstämmelse med nya säkerhetspolicyer, och tar bort resurser som refererar till sårbara bilder.

Snyk

• webbplats: snyk.io
• Licens: gratis (Apache) och kommersiella versioner

Snyk är en ovanlig sårbarhetsskanner genom att den riktar sig specifikt mot utvecklingsprocessen och marknadsförs som en "essentiell lösning" för utvecklare.

Snyk ansluter direkt till kodlager, analyserar projektmanifestet och analyserar den importerade koden tillsammans med direkta och indirekta beroenden. Snyk stöder många populära programmeringsspråk och kan identifiera dolda licensrisker.

Trivy

• webbplats: github.com/knqyf263/trivy
• Licens: gratis (AGPL)

Trivy är en enkel men kraftfull sårbarhetsskanner för behållare som enkelt integreras i en CI/CD-pipeline. Dess anmärkningsvärda funktion är dess enkla installation och drift: applikationen består av en enda binär och kräver inte installation av en databas eller ytterligare bibliotek.

Nackdelen med Trivys enkelhet är att du måste ta reda på hur du analyserar och vidarebefordrar resultaten i JSON-format så att andra Kubernetes säkerhetsverktyg kan använda dem.

Körtidssäkerhet i Kubernetes

falco

• webbplats: falco.org
• Licens: gratis (Apache)

Falco är en uppsättning verktyg för att säkra molnmiljöer. En del av projektfamiljen CNCF.

Med hjälp av Sysdigs Linux-verktyg på kärnnivå och systemanropsprofilering låter Falco dig dyka djupt in i systemets beteende. Dess körtidsreglermotor kan upptäcka misstänkt aktivitet i applikationer, behållare, den underliggande värden och Kubernetes orkestrator.

Falco tillhandahåller fullständig transparens i runtime och hotdetektering genom att distribuera specialagenter på Kubernetes-noder för dessa ändamål. Som ett resultat finns det inget behov av att modifiera containrar genom att införa tredjepartskod i dem eller lägga till sidovagnscontainrar.

Linux-säkerhetsramverk för runtime

Dessa inbyggda ramverk för Linux-kärnan är inte "Kubernetes-säkerhetsverktyg" i traditionell mening, men de är värda att nämna eftersom de är ett viktigt inslag i sammanhanget med runtime-säkerhet, som ingår i Kubernetes Pod Security Policy (PSP).

AppArmor bifogar en säkerhetsprofil till processer som körs i behållaren, definierar filsystemprivilegier, regler för nätverksåtkomst, ansluter bibliotek, etc. Detta är ett system baserat på Mandatory Access Control (MAC). Med andra ord förhindrar det att förbjudna handlingar utförs.

Säkerhetsförbättrad Linux (SELinux) är en avancerad säkerhetsmodul i Linux-kärnan, som i vissa avseenden liknar AppArmor och ofta jämförs med den. SELinux är överlägset AppArmor i kraft, flexibilitet och anpassning. Dess nackdelar är lång inlärningskurva och ökad komplexitet.

Secomp och seccomp-bpf låter dig filtrera systemanrop, blockera exekveringen av de som är potentiellt farliga för basoperativsystemet och som inte behövs för normal drift av användarapplikationer. Secomp liknar Falco på vissa sätt, även om det inte känner till detaljerna för containrar.

Sysdig öppen källkod

• webbplats: www.sysdig.com/opensource
• Licens: gratis (Apache)

Sysdig är ett komplett verktyg för att analysera, diagnostisera och felsöka Linux-system (fungerar även på Windows och macOS, men med begränsade funktioner). Den kan användas för detaljerad informationsinsamling, verifiering och kriminalteknisk analys. (kriminalteknik) bassystemet och eventuella behållare som körs på det.

Sysdig stöder också inbyggt behållarkörningstider och Kubernetes-metadata, och lägger till ytterligare dimensioner och etiketter till all information om systembeteende som den samlar in. Det finns flera sätt att analysera ett Kubernetes-kluster med Sysdig: du kan utföra punktinsamling via kubectl fånga eller starta ett ncurses-baserat interaktivt gränssnitt med hjälp av en plugin kubectl gräva.

Kubernetes nätverkssäkerhet

Aporeto

• webbplats: www.aporeto.com
• Licens: kommersiell

Aporeto erbjuder "säkerhet skild från nätverket och infrastrukturen." Detta innebär att Kubernetes tjänster inte bara får ett lokalt ID (d.v.s. ServiceAccount i Kubernetes), utan också ett universellt ID/fingeravtryck som kan användas för att kommunicera säkert och ömsesidigt med vilken annan tjänst som helst, till exempel i ett OpenShift-kluster.

Aporeto kan generera ett unikt ID inte bara för Kubernetes/containrar, utan även för värdar, molnfunktioner och användare. Beroende på dessa identifierare och uppsättningen av nätverkssäkerhetsregler som ställts in av administratören kommer kommunikation att tillåtas eller blockeras.

Kalikå

• webbplats: www.projectcalico.org
• Licens: gratis (Apache)

Calico distribueras vanligtvis under en containerorkestratorinstallation, vilket gör att du kan skapa ett virtuellt nätverk som kopplar samman containrar. Utöver denna grundläggande nätverksfunktionalitet, arbetar Calico-projektet med Kubernetes Network Policies och sin egen uppsättning nätverkssäkerhetsprofiler, stöder slutpunkts-ACL (åtkomstkontrollistor) och anteckningsbaserade nätverkssäkerhetsregler för Ingress- och Egress-trafik.

cilium

• webbplats: www.cilium.io
• Licens: gratis (Apache)

Cilium fungerar som en brandvägg för containrar och tillhandahåller nätverkssäkerhetsfunktioner som är skräddarsydda för Kubernetes och mikrotjänsters arbetsbelastningar. Cilium använder en ny Linux-kärnteknologi som kallas BPF (Berkeley Packet Filter) för att filtrera, övervaka, omdirigera och korrigera data.

Cilium kan distribuera policyer för nätverksåtkomst baserat på container-ID:n med Docker- eller Kubernetes-etiketter och metadata. Cilium förstår och filtrerar också olika Layer 7-protokoll som HTTP eller gRPC, så att du kan definiera en uppsättning REST-anrop som kommer att tillåtas mellan två Kubernetes-distributioner, till exempel.

Samma

• webbplats: istio.io
• Licens: gratis (Apache)

Istio är allmänt känt för att implementera servicemesh-paradigmet genom att distribuera ett plattformsoberoende kontrollplan och dirigera all hanterad servicetrafik genom dynamiskt konfigurerbara Envoy-proxyer. Istio drar fördel av denna avancerade syn på alla mikrotjänster och behållare för att implementera olika nätverkssäkerhetsstrategier.

Istios nätverkssäkerhetsmöjligheter inkluderar transparent TLS-kryptering för att automatiskt uppgradera kommunikation mellan mikrotjänster till HTTPS, och ett proprietärt RBAC-identifiering och auktoriseringssystem för att tillåta/neka kommunikation mellan olika arbetsbelastningar i klustret.

Notera. transl.: För att lära dig mer om Istios säkerhetsfokuserade funktioner, läs den här artikeln.

Tigera

• webbplats: www.tigera.io
• Licens: kommersiell

Den här lösningen, som kallas "Kubernetes-brandväggen", betonar ett nollförtroende för nätverkssäkerhet.

I likhet med andra inbyggda Kubernetes-nätverkslösningar förlitar Tigera sig på metadata för att identifiera de olika tjänsterna och objekten i klustret och tillhandahåller problemdetektering vid körning, kontinuerlig kontroll av efterlevnad och nätverkssynlighet för multimoln eller hybrid infrastrukturer med monolitiska behållare.

Trirem

• webbplats: www.aporeto.com/opensource
• Licens: gratis (Apache)

Trireme-Kubernetes är en enkel och okomplicerad implementering av Kubernetes nätverkspolicyspecifikation. Den mest anmärkningsvärda egenskapen är att - till skillnad från liknande Kubernetes nätverkssäkerhetsprodukter - det inte kräver ett centralt kontrollplan för att koordinera nätet. Detta gör lösningen trivialt skalbar. I Trireme uppnås detta genom att installera en agent på varje nod som direkt ansluter till värdens TCP/IP-stack.

Bildspridning och hemlighetshantering

Grafeas

• webbplats: grafeas.io
• Licens: gratis (Apache)

Grafeas är ett API med öppen källkod för granskning och hantering av mjukvaruförsörjningskedjan. På en grundläggande nivå är Grafeas ett verktyg för att samla in metadata och revisionsfynd. Den kan användas för att spåra efterlevnad av bästa säkerhetspraxis inom en organisation.

Denna centraliserade källa till sanning hjälper till att svara på frågor som:

• Vem samlade in och signerade för en viss container?
• Har den klarat alla säkerhetsskanningar och kontroller som krävs av säkerhetspolicyn? När? Vad blev resultatet?
• Vem distribuerade den till produktion? Vilka specifika parametrar användes under driftsättningen?

In-toto

• webbplats: in-toto.github.io
• Licens: gratis (Apache)

In-toto är ett ramverk utformat för att tillhandahålla integritet, autentisering och granskning av hela programvarans leveranskedja. Vid utplacering av In-toto i en infrastruktur definieras först en plan som beskriver de olika stegen i pipelinen (repository, CI/CD-verktyg, QA-verktyg, artefaktsamlare etc.) och de användare (ansvariga personer) som får initiera dem.

In-toto övervakar genomförandet av planen och verifierar att varje uppgift i kedjan utförs korrekt av endast auktoriserad personal och att inga obehöriga manipulationer har utförts med produkten under förflyttning.

Portieris

• webbplats: github.com/IBM/portieris
• Licens: gratis (Apache)

Portieris är tillträdeskontrollant för Kubernetes; används för att genomdriva kontroller av förtroende för innehåll. Portieris använder en server Notarius publicus (vi skrev om honom i slutet den här artikeln - cirka. översättning) som en källa till sanning för att validera betrodda och signerade artefakter (dvs godkända behållarbilder).

När en arbetsbelastning skapas eller modifieras i Kubernetes, laddar Portieris ned signeringsinformationen och innehållsförtroendepolicyn för de begärda behållarbilderna och gör vid behov direkta ändringar av JSON API-objektet för att köra signerade versioner av dessa bilder.

Valv

• webbplats: www.vaultproject.io
• Licens: gratis (MPL)

Vault är en säker lösning för att lagra privat information: lösenord, OAuth-tokens, PKI-certifikat, åtkomstkonton, Kubernetes-hemligheter, etc. Vault stöder många avancerade funktioner, som att hyra tillfälliga säkerhetstokens eller organisera nyckelrotation.

Med hjälp av Helm-diagrammet kan Vault distribueras som en ny distribution i ett Kubernetes-kluster med Consul som backend-lagring. Den stöder inbyggda Kubernetes-resurser som ServiceAccount-tokens och kan till och med fungera som standardbutik för Kubernetes-hemligheter.

Notera. transl.: Förresten, igår meddelade företaget HashiCorp, som utvecklar Vault, några förbättringar för att använda Vault i Kubernetes, och i synnerhet relaterar de till Helm-diagrammet. Läs mer i utvecklarblogg.

Kubernetes säkerhetsgranskning

Kube-bänk

• webbplats: github.com/aquasecurity/kube-bench
• Licens: gratis (Apache)

Kube-bench är ett Go-program som kontrollerar om Kubernetes är säkert distribuerat genom att köra tester från en lista CIS Kubernetes Benchmark.

Kube-bench letar efter osäkra konfigurationsinställningar bland klusterkomponenter (etcd, API, controller manager, etc.), tvivelaktiga filåtkomsträttigheter, oskyddade konton eller öppna portar, resurskvoter, inställningar för att begränsa antalet API-anrop för att skydda mot DoS-attacker , etc.

Kube-jägare

• webbplats: github.com/aquasecurity/kube-hunter
• Licens: gratis (Apache)

Kube-hunter letar efter potentiella sårbarheter (som fjärrkörning av kod eller avslöjande av data) i Kubernetes-kluster. Kube-hunter kan köras som en fjärrskanner - i så fall kommer den att utvärdera klustret från en tredje parts angripares synvinkel - eller som en pod inuti klustret.

En utmärkande egenskap hos Kube-hunter är dess "aktiva jakt"-läge, under vilket den inte bara rapporterar problem, utan också försöker dra fördel av sårbarheter som upptäckts i målklustret som potentiellt kan skada dess drift. Så använd med försiktighet!

Kubeaudit

• webbplats: github.com/Shopify/kubeaudit
• Licens: gratis (MIT)

Kubeaudit är ett konsolverktyg som ursprungligen utvecklades på Shopify för att granska Kubernetes-konfigurationen för olika säkerhetsproblem. Det hjälper till exempel att identifiera behållare som körs obegränsat, körs som root, missbrukar privilegier eller använder standard ServiceAccount.

Kubeaudit har andra intressanta funktioner. Till exempel kan den analysera lokala YAML-filer, identifiera konfigurationsfel som kan leda till säkerhetsproblem och automatiskt åtgärda dem.

Kubesec

• webbplats: kubesec.io
• Licens: gratis (Apache)

Kubesec är ett specialverktyg genom att det direkt skannar YAML-filer som beskriver Kubernetes resurser, letar efter svaga parametrar som kan påverka säkerheten.

Till exempel kan den upptäcka överdrivna privilegier och behörigheter som beviljats ​​en pod, köra en behållare med root som standardanvändare, ansluta till värdens nätverksnamnområde eller farliga monteringar som /proc värd- eller Docker-uttag. En annan intressant funktion hos Kubesec är demotjänsten tillgänglig online, till vilken du kan ladda upp YAML och omedelbart analysera den.

Öppna Policy Agent

• webbplats: www.openpolicyagent.org
• Licens: gratis (Apache)

Konceptet med OPA (Open Policy Agent) är att frikoppla säkerhetspolicyer och bästa säkerhetspraxis från en specifik runtime-plattform: Docker, Kubernetes, Mesosphere, OpenShift eller någon kombination därav.

Du kan till exempel distribuera OPA som en backend för Kubernetes-tillträdeskontrollanten och delegera säkerhetsbeslut till den. På så sätt kan OPA-agenten validera, avvisa och till och med modifiera förfrågningar i farten, vilket säkerställer att de angivna säkerhetsparametrarna uppfylls. OPA:s säkerhetspolicy är skriven på dess proprietära DSL-språk, Rego.

Notera. transl.: Vi skrev mer om OPA (och SPIFFE) i detta material.

Omfattande kommersiella verktyg för Kubernetes säkerhetsanalys

Vi bestämde oss för att skapa en separat kategori för kommersiella plattformar eftersom de vanligtvis täcker flera säkerhetsområden. En allmän uppfattning om deras kapacitet kan erhållas från tabellen:

* Avancerad undersökning och post mortem analys med komplett kapning av systemsamtal.

Aqua Security

• webbplats: www.aquasec.com
• Licens: kommersiell

Detta kommersiella verktyg är designat för containrar och molnbelastningar. Det ger:

• Bildskanning integrerad med ett containerregister eller CI/CD-pipeline;
• Körtidsskydd med sökning efter ändringar i behållare och annan misstänkt aktivitet;
• Behållarinbyggd brandvägg;
• Säkerhet för serverlösa i molntjänster;
• Efterlevnadstestning och revision kombinerat med händelseloggning.

Notera. transl.: Det är också värt att notera att det finns gratis komponent av produkten som kallas MicroScanner, som låter dig skanna behållarbilder efter sårbarheter. En jämförelse av dess kapacitet med betalversioner presenteras i det här bordet.

Kapsel 8

• webbplats: capsule8.com
• Licens: kommersiell

Capsule8 integreras i infrastrukturen genom att installera detektorn på ett lokalt eller molnigt Kubernetes-kluster. Den här detektorn samlar in värd- och nätverkstelemetri och korrelerar den med olika typer av attacker.

Capsule8-teamet ser sin uppgift som tidig upptäckt och förebyggande av attacker med hjälp av nya (0 dagar) sårbarheter. Capsule8 kan ladda ner uppdaterade säkerhetsregler direkt till detektorer som svar på nyupptäckta hot och sårbarheter i programvara.

Cavirin

• webbplats: www.cavirin.com
• Licens: kommersiell

Cavirin fungerar som en entreprenör på företaget för olika myndigheter som är involverade i säkerhetsstandarder. Den kan inte bara skanna bilder, utan den kan också integreras i CI/CD-pipelinen och blockera icke-standardiserade bilder innan de går in i slutna arkiv.

Cavirins säkerhetssvit använder maskininlärning för att bedöma din cybersäkerhetsställning, och ger tips för att förbättra säkerheten och förbättra efterlevnaden av säkerhetsstandarder.

Google Cloud Security Command Center

• webbplats: cloud.google.com/security-command-center
• Licens: kommersiell

Cloud Security Command Center hjälper säkerhetsteam att samla in data, identifiera hot och eliminera dem innan de skadar företaget.

Som namnet antyder är Google Cloud SCC en enhetlig kontrollpanel som kan integrera och hantera en mängd olika säkerhetsrapporter, tillgångsredovisningsmotorer och tredjepartssäkerhetssystem från en enda centraliserad källa.

Det interoperabla API:t som erbjuds av Google Cloud SCC gör det enkelt att integrera säkerhetshändelser från olika källor, som Sysdig Secure (behållarsäkerhet för molnbaserade applikationer) eller Falco (Öppen källkodssäkerhet).

Layered Insight (Qualys)

• webbplats: layeredinsight.com
• Licens: kommersiell

Layered Insight (nu en del av Qualys Inc) bygger på konceptet "inbäddad säkerhet." Efter att ha skannat den ursprungliga bilden för sårbarheter med hjälp av statistisk analys och CVE-kontroller, ersätter Layered Insight den med en instrumenterad bild som inkluderar agenten som en binär.

Denna agent innehåller körtidssäkerhetstester för att analysera containernätverkstrafik, I/O-flöden och applikationsaktivitet. Dessutom kan den utföra ytterligare säkerhetskontroller som anges av infrastrukturadministratören eller DevOps-teamen.

NeuVector

• webbplats: neuvector.com
• Licens: kommersiell

NeuVector kontrollerar containersäkerhet och ger körtidsskydd genom att analysera nätverksaktivitet och applikationsbeteende, skapa en individuell säkerhetsprofil för varje container. Det kan också blockera hot på egen hand, isolera misstänkt aktivitet genom att ändra lokala brandväggsregler.

NeuVectors nätverksintegration, känd som Security Mesh, är kapabel till djup paketanalys och lager 7-filtrering för alla nätverksanslutningar i tjänstens mesh.

StackRox

• webbplats: www.stackrox.com
• Licens: kommersiell

StackRox containersäkerhetsplattform strävar efter att täcka hela livscykeln för Kubernetes-applikationer i ett kluster. Liksom andra kommersiella plattformar på den här listan genererar StackRox en körtidsprofil baserad på observerat containerbeteende och larmar automatiskt för eventuella avvikelser.

Dessutom analyserar StackRox Kubernetes-konfigurationer med hjälp av Kubernetes CIS och andra regelböcker för att utvärdera containerefterlevnad.

Sysdig Secure

• webbplats: sysdig.com/products/secure
• Licens: kommersiell

Sysdig Secure skyddar applikationer under hela containerns och Kubernetes livscykel. han skannar bilder containrar, tillhandahåller körtidsskydd enligt maskininlärningsdata, utför kräm. expertis för att identifiera sårbarheter, blockerar hot, övervakar överensstämmelse med etablerade standarder och granskar aktivitet i mikrotjänster.

Sysdig Secure integreras med CI/CD-verktyg som Jenkins och kontrollerar bilder som laddas från Docker-register, vilket förhindrar att farliga bilder dyker upp i produktionen. Det ger också omfattande körtidssäkerhet, inklusive:

• ML-baserad körtidsprofilering och anomalidetektering;
• körtidspolicyer baserade på systemhändelser, K8s-audit API, gemensamma gemenskapsprojekt (FIM - övervakning av filintegritet; kryptojackning) och ramverk MITER ATT & CK;
• svar och lösning av incidenter.

Hållbar containersäkerhet

• webbplats: www.tenable.com/products/tenable-io/container-security
• Licens: kommersiell

Innan tillkomsten av containrar var Tenable allmänt känt i branschen som företaget bakom Nessus, ett populärt verktyg för sårbarhetsjakt och säkerhetsgranskning.

Tenable Container Security utnyttjar företagets expertis för datorsäkerhet för att integrera en CI/CD-pipeline med sårbarhetsdatabaser, specialiserade paket för upptäckt av skadlig programvara och rekommendationer för att lösa säkerhetshot.

Twistlock (Palo Alto Networks)

• webbplats: www.twistlock.com
• Licens: kommersiell

Twistlock marknadsför sig som en plattform fokuserad på molntjänster och containrar. Twistlock stöder olika molnleverantörer (AWS, Azure, GCP), containerorkestratorer (Kubernetes, Mesospehere, OpenShift, Docker), serverlösa körtider, mesh-ramverk och CI/CD-verktyg.

Förutom konventionella säkerhetstekniker av företagsklass som CI/CD-pipeline-integration eller bildskanning, använder Twistlock maskininlärning för att generera containerspecifika beteendemönster och nätverksregler.

För en tid sedan köptes Twistlock av Palo Alto Networks, som äger projekten Evident.io och RedLock. Det är ännu inte känt hur exakt dessa tre plattformar kommer att integreras i PRISMA från Palo Alto.

Hjälp till att bygga den bästa katalogen med Kubernetes säkerhetsverktyg!

Vi strävar efter att göra denna katalog så komplett som möjligt, och för detta behöver vi din hjälp! Kontakta oss (@sysdig) om du har ett coolt verktyg i åtanke som är värt att inkluderas i den här listan, eller om du hittar ett fel/föråldrad information.

Du kan också prenumerera på vår månatligt nyhetsbrev med nyheter från det molnbaserade ekosystemet och berättelser om intressanta projekt från Kubernetes-säkerhetsvärlden.

PS från översättaren

Läs även på vår blogg:

• «En introduktion till Kubernetes nätverkspolicyer för säkerhetspersonal";
• «Docker och Kubernetes i säkerhetskänsliga miljöer";
• «9 bästa metoder för Kubernetes Security";
• «11 sätt att (inte) bli offer för ett Kubernetes-hack";
• «OPA och SPIFFE är två nya projekt på CNCF för säkerhet i molnapplikationer".

Källa: will.com